日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2021年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。
日本シノプシスは2021年5月21日、オンラインで会見を開き、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2021年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。
同レポートは、企業買収時のソフトウェアの査定などを行っているBlack Duckの監査サービス部門の調査内容を匿名化し、シノプシスのCyRC(Cybersecurity Research Center)が分析し所見をまとめたもの。今回の実施時期は2020年で、17の業種、1540以上の商用アプリケーションやライブラリといったコードベースが対象になっている。
かつてはカスタム/プロプライエタリで開発を行っていたソフトウェアだが、現在はもはやOSSの利用が当たり前になっている。日本シノプシス ソフトウェア・インテグリティ・グループ シニアセキュリティエンジニアの吉井雅人氏は「今回のレポートで調査対象となった1546のコードベースのうち、OSSを含んでいたコードベースは実に98%に達する。全コードベースに占めるオープンソースの割合も75%となっている」と語る。
また、コードベース1つ当たりで用いられるOSSコンポーネント数も増加しており、2016年の84に対して2020年は528となった。これは「Webアプリケーションを中心にJ、より小さなソフトウェアコンポーネントとして用いられるJavaScriptベースのOSSがより広く使われるようになっているからだ」(吉井氏)。
OSSRAレポートでは、「脆弱性」「ライセンス」「サステナビリティ」の3点をOSSのリスクとして報告している。
まず、脆弱性では、少なくとも1つの脆弱性が見つかったコードベースの割合が84%、リモートコードインジェクションにつながり得る高リスクの脆弱性を含むコードベースの割合が60%となった。直近の3年間は、OSSに含まれる脆弱性の割合が増加している。
また、コードベース1つ当たりに含まれる脆弱性の数の平均も、2019年の82から、2020年は158とほぼ倍増する事態となっている。吉井氏は「JavaScriptの採用によってソフトウェアコンポーネントが詳細化していることに加えて、脆弱性が判明したOSSをバージョンアップせずそのまま使用しつつ、さらに新しいOSSを取り込んでいるからではないか」と説明する。実際に、コードベースに含まれる上位10種の脆弱性を見ると、前回のレポートで見られたものが上位を占めるとともに含まれる割合も増えている。
なお、アプリストアなどで人気の3335のAndroidアプリケーションについて行われたOSSRAレポートとは別の調査では、OSSを含む割合が98%、OSSに基づく脆弱性を含む割合が63%、高リスクと判定された脆弱性を含む割合が44%となった。企業買収時に査定されるエンタープライズ向けを中心としたソフトウェアを対象にするOSSRAレポートだが、Androidアプリケーションというコンシューマー向けソフトウェアの調査結果とほぼ同様の傾向にあるといえるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.